Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen.
Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (© BillionPhotos.com - stock.adobe.com)

Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf.

Mythos 1: DSGVO tritt am 25. Mai 2018 in Kraft.

Realität: Falsch! Es mag übertrieben erscheinen, doch alle Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in Kraft tritt, machen einen Fehler. Die Datenschutz-Grundverordnung ist bereits in Kraft, die zweijährige Übergangszeit endet am 25. Mai 2018. Warum soll das wichtig sein? Ganz einfach: Man könnte denken, die DSGVO tritt ohne jede Vorwarnzeit in Kraft, plötzlich ist sie da und muss angewendet werden.

In Wirklichkeit aber liegt die DSGVO bereits seit über 1,5 Jahren auf dem Tisch. Die Umsetzung läuft und sollte laufen, mit der Frist 25. Mai 2018. Diese Erkenntnis hilft nicht bei der Bewältigung, wohl aber bei der Argumentation, dass die Schonfrist bald um ist. Es ist Zeit, das Projekt DSGVO mit Vollgas voranzutreiben.

Mythos 2: Es drohen Bußgelder von bis zu 20 Mio EUR, wenn Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird!

Realität: Stimmt nicht! Es geht nicht darum, die möglichen Sanktionen herunterzuspielen, wenn die bis zu 20 Mio Euro Bußgeld bei Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) als falsch eingestuft werden. Es geht vielmehr darum, dass man sich genauer mit den möglichen Sanktionen befassen muss. Dann stellt man fest: Art.83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) listet den Artikel 32 (Sicherheit der Verarbeitung) dort auf, wo steht: „Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.

Nun sind bis zu zehn Mio Euro immer noch extrem hoch im Vergleich zu den Bußgeldern, die in dem Bundesdatenschutzgesetz (BDSG) genannt sind. Doch bei den Vorgaben, die bei einem Verstoß tatsächlich zu bis zu 20 Mio Euro Bußgeld führen können, sind insbesondere zu finden die Grundsätze für die Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) sowie die Rechte der betroffenen Person (wie das neue Recht auf Datenübertragbarkeit).

Tatsächlich können Verstöße gegen die Integrität und Vertraulichkeit zu den maximalen Bußgeldern führen, aber auch alle anderen Verstöße gegen die Grundsätze und die Betroffenenrechte. Datensicherheit ist also sehr wichtig, aber nicht alles!

Mythos 3: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!

Realität: Unsinn! Um es kurz machen: Von Haftstrafen ist in der DSGVO nicht die Rede. Anstatt sich über einen Aufenthalt im Gefängnis Sorgen zu machen, sollte man lieber daran denken, dass es neben den Sanktionen und Bußgeldern auch Haftung und Recht auf Schadenersatz gibt. Artikel 82 DSGVO besagt: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Hier drohen also Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis bringt einen die DSGVO selbst nicht.

Mythos 4: Jeder muss jetzt einen Datenschutzbeauftragten haben!

Realität: Nein! Das ist falsch, das war bisher in dem Bundesdatenschutzgesetz (BDSG) nicht so, es wird auch unter der Datenschutz-Grundverordnung nicht so sein. Ob man einen Datenschutzbeauftragten im Unternehmen benötigt oder nicht, regelt Artikel 37 DSGVO.

Dort steht: Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Mythos 5: Cloud-Lösung XY ist DSGVO-konform!

Realität: Wer sagt das? Viele Anbieter verweisen gegenwärtig auf ihre Konformität mit der DSGVO. Ob dies nach besten Wissen und Gewissen geschieht oder auf Basis eines bestehenden Datenschutz-Zertifikats: Wer zum Beispiel einen Cloud-Service nutzen möchte, braucht mehr als eine Selbstauskunft des Anbieters, er braucht hinreichende Garantien des Anbieters dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Eine Garantie können in Zukunft zum Beispiel ein genehmigtes Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein Datenschutz-Zertifikat, das unter dem Bundesdatenschutzgesetz (BDSG) vergeben wurde, reicht dagegen nicht. Zuerst muss das entsprechende Zertifizierungsverfahren umgestellt sein auf die DSGVO.

Mythos 6: Wir sind DSGVO-zertifiziert!

Realität: Noch gar nicht möglich! Artikel 42 DSGVO (Zertifizierung) macht deutlich, dass Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, zuerst genehmigt werden müssen. So fordert die DSGVO: Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde genehmigten Kriterien erteilt. Erst wenn genehmigte Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Das ist aber bisher nicht der Fall.

Mythos 7: Die Meldepflichten nach DSGVO sind ein Novum!

Realität: Blödsinn! Die Meldepflichten nach DSGVO sind nicht etwa komplett neu, wie manche Meldungen suggerieren. Vielmehr gibt es Änderungen gegenüber den Informationspflichten nach Bundesdatenschutzgesetz, man kann auch von einer Verschärfung sprechen, insbesondere, wenn man an die 72-Stunden-Frist zur Meldung an die zuständige Aufsichtsbehörde denkt. Trotzdem: Es gibt schon jetzt eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Unternehmen sollten also keinen komplett neuen Melde-Prozess aufsetzen müssen, wenn sie denn die Vorgaben des BDSG einhalten.

Meldepflichten gibt es nicht nur bei der DSGVO

Meldepflichten bei IT-Sicherheitsvorfällen

Meldepflichten gibt es nicht nur bei der DSGVO

08.01.18 - Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen. lesen

Mythos 8: Die DSGVO verbietet die Datenübermittlung in die USA!

Realität: Stimmt nicht! Die DSGVO verbietet nicht etwa die Datenübermittlung in Drittstaaten wie die USA, sondern sie stellt mehrere Anforderungen an eine solche Datenübermittlung. Dabei geht es um die Garantie, dass das Datenschutzniveau bei dem Empfänger dem der DSGVO entspricht. Für den Nachweis gibt es verschiedene Wege, darunter Privacy Shield, bei dem die Aufsichtsbehörden weiterhin Bedarf für Nachbesserungen sehen. Denkbar ist es aber auch, dass ein Empfänger aus einem Drittstaat ein Datenschutz-Zertifikat nach DSGVO erlangt und so den Nachweis erbringt. Von einem generellen Verbot kann also keine Rede sein.

Was EU-US-Privacy Shield für Cloud-Nutzer bedeutet

Nachbericht zum Insider Talk #7

Was EU-US-Privacy Shield für Cloud-Nutzer bedeutet

06.06.16 - Auf welcher rechtlichen Grundlage sind Datenübermittlungen in die USA noch möglich? Im Insider Talk „EU-US Privacy Shield“ diskutierten darüber Dr. Sibylle Gierschmann, Partnerin der Sozietät Taylor Wessing, und Alexander Filip, Leiter des Referats Internationaler Datenverkehr und Bußgeld des Bayerischen Landesamtes für Datenschutzaufsicht. lesen

Mythos 9. Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!

Realität: Wo soll das stehen? Zweifellos ist die Verschlüsselung eine der zentralen Maßnahmen der Datensicherheit. In vielen Fällen wird auch eine Verschlüsselung von E-Mails sehr sinnvoll sein. Aber die DSGVO sieht keinen Zwang zur Verschlüsselung vor.

Vielmehr besagt Artikel 32 DSGVO: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten (…).

Ob eine Verschlüsselung zum Einsatz kommen soll oder nicht, hängt somit von dem zu ermittelnden Schutzbedarf der Daten, dem Risiko für die Betroffenen sowie weiteren Faktoren ab wie Stand der Technik, Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung. Verschlüsselung ist also kein Automatismus, sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die Vertraulichkeit der Daten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45071501 / Compliance und Datenschutz )